LAMP 特性2

最新推荐文章于 2021-06-08 19:08:31 发布

转载最新推荐文章于 2021-06-08 19:08:31 发布 · 1.8k 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：https://my.oschina.net/u/3997678/blog/2994898

文章标签：

#php #数据库 #系统安全

防盗链访问控制

Ctrl+F5 删缓存刷新

HTTP请求中会包含来自哪个url的点击来源，通过这个referer字段可以检测是否别的网站发送的请求。防止图片，视频被盗用。

配置案例如下：

<Directory /data/wwwroot/www.123.com>
        SetEnvIfNoCase Referer "http://www.123.com" local_ref
        SetEnvIfNoCase Referer "http://123.com" local_ref
        SetEnvIfNoCase Referer "^$" local_ref
        <filesmatch "\.(txt|doc|mp3|zip|rar|jpg|gif)">
            Order Allow,Deny
            Allow from env=local_ref
        </filesmatch>
    </Directory>

[root@localhost ~]# curl -e"http://www.xxoo.com" shuxue.com/3g.jpg -I
HTTP/1.1 200 OK
Date: Fri, 28 Dec 2018 02:25:16 GMT
Server: Apache/2.4.37 (Unix) PHP/5.5.38
Last-Modified: Fri, 21 Sep 2018 00:38:34 GMT
ETag: "10d53-57656dc02f680"
Accept-Ranges: bytes
Content-Length: 68947
Cache-Control: max-age=86400
Expires: Sat, 29 Dec 2018 02:25:16 GMT
Content-Type: image/jpeg

[root@localhost ~]# curl -e"http://www.111xxoo.com" shuxue.com/3g.jpg -I
HTTP/1.1 403 Forbidden
Date: Fri, 28 Dec 2018 02:25:27 GMT
Server: Apache/2.4.37 (Unix) PHP/5.5.38
Content-Type: text/html; charset=iso-8859-1

管理页面虽然有认证功能，但是防不住有人知道密码，所以要再加个访问控制列表！curl出来的网页状态码为403

配置案例如下：

  <Directory /data/wwwroot/www.123.com/admin/>
        Order deny,allow
        Deny from all
        Allow from 127.0.0.1
    </Directory>

像上图一样，防盗链里定义的规则。order定义的顺序是先allow然后deny。然后allow动作是有的,deny动作没有。所以整个规则就是只allow tag10。但是如果你在deny加了动作那就不一样了。

测试现象

[root@localhost ~]# !curl
curl -e"http://www.111xxoo.com" shuxue.com/3g.jpg -I
HTTP/1.1 403 Forbidden
Date: Fri, 28 Dec 2018 02:45:28 GMT
Server: Apache/2.4.37 (Unix) PHP/5.5.38
Content-Type: text/html; charset=iso-8859-1

[root@localhost ~]# curl -e"http://www.xxoo.com" shuxue.com/3g.jpg -I
HTTP/1.1 403 Forbidden
Date: Fri, 28 Dec 2018 02:45:41 GMT
Server: Apache/2.4.37 (Unix) PHP/5.5.38
Content-Type: text/html; charset=iso-8859-1

连先前allow的都被deny了。所以现在的规则是deny all。

访问控制 FileMatch 匹配关键字

功能和Directory一样，目录形式比较固定，但是有些url里面包含很多特殊符号比如：admin*/&^?等等。所以可以使用filematch。

配置案例如下：

<Directory /data/wwwroot/www.123.com>
    <FilesMatch  "admin.php(.*)">
        Order deny,allow
        Deny from all
        Allow from 127.0.0.1
    </FilesMatch>
</Directory>

curl -x127.0.0.1:80 www.123.com/admin.phpdfdfeijfsefg

禁止php解析

如果有一个目录，开放上传文件权限，允许上传图片，有些人上传了php的文件。然后系统就会执行该php脚本，最后会运行一些恶意程序！一般静态文件存储目录下不允许存放php。

配置案例如下：

    <Directory /data/wwwroot/www.123.com/upload>
        php_admin_flag engine off
    </Directory>

测试现象

[root@localhost httpd]# /usr/local/httpd/bin/apachectl -t
Syntax OK
[root@localhost httpd]# /usr/local/httpd/bin/apachectl graceful
[root@localhost httpd]# curl -x127.0.0.1:80 shuxue.com/111.php 
<?php
phpinfo();

访问控制 – user_agent 浏览器标识

有时候网站受到ddos攻击一样，超过并发连接数。有些最多只支持100个并发连接。所以就挂了！还有一些蜘蛛在爬。

配置案例如下：

   <IfModule mod_rewrite.c>
        RewriteEngine on
        RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]  //or或者的意思，表示既匹配curl又匹配baidu。NC表示忽略大小写
        RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.* [NC]
        RewriteRule  .*  -  [F]     //forbidden的意思 403
    </IfModule>
 curl -A "123123" -x127.0.0.1:80 'http://111.com/123.php'  // -A 指定user_agent

测试现象：

[root@localhost httpd]# /usr/local/httpd/bin/apachectl -t
Syntax OK
[root@localhost httpd]# curl -x127.0.0.1:80 yuwen.com/111.php
homepage
[root@localhost httpd]# /usr/local/httpd/bin/apachectl graceful
[root@localhost httpd]# curl -x127.0.0.1:80 yuwen.com/111.php
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /111.php
on this server.<br />
</p>
</body></html>
[root@localhost httpd]# curl -A"huawei" -x127.0.0.1:80 yuwen.com/111.php
homepage

PHP相关配置

上面这些内容都是关于httpd apache的配置。接下来是php的相关配置！php是负责解析的，但是有些危险函数要禁掉，不然会威胁系统安全的！

==查看php配置文件位置==

 /usr/local/php/bin/php -i|grep -i "loaded configuration file"  //不一定正确！phpinfo最准确
 如果没有配置文件，cp /usr/local/src/php-5.1.6/php.ini-production /usr/local/php5/etc/php.ini

date.timezone  //时区要改过来，不然会出现乱码！

禁止危险函数：

禁止掉之后，禁止解析php的engine也就没什么用了！

disable_functions       
eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_close

 display_errors,log_errors,error_log, error_reporting，

错误信息要关掉，不然会显示到浏览器上！

关闭显示错误信息后要打开错误日志功能,配置错误日志存放目录,错误日志级别

php7默认是E_ALL，实际生产中E_ALL & ~E_NOTICE 即可！

open_basedir   //假如A网站被黑，不能再让黑客通过A跳板到其他网站！php.ini只能在全局做精准度不高，所以可以在httpd的虚拟主机里进行限制！
php_admin_value open_basedir "/data/dota.com:/tmp/"

限定该php，tmp为临时文件存放区

php发现少了一个模块，需要增加模块！

 /usr/local/php/bin/php -m //查看模块
 下面安装一个redis的模块
 cd /usr/local/src/
 wget https://codeload.github.com/phpredis/phpredis/zip/develop 
 mv develop phpredis-develop.zip
 unzip phpredis-develop.zip
 cd phpredis-develop
 /usr/local/php/bin/phpize //生成configure文件
 ./configure --with-php-config=/usr/local/php/bin/php-config
 make && make install
 /usr/local/php/bin/php -i |grep extension_dir //查看扩展模块存放目录，我们可以在php.ini中去自定义该路径 
 vim /usr/local/php/etc/php.ini  //增加一行配置（可以放到文件最后一行）
extension = redis.so

==/usr/local/http/bin/pecl install redis==可以轻松得添加扩展模块！

转载于:https://my.oschina.net/u/3997678/blog/2994898